GIODO nałoży wysokie kary finansowe
Data dodania: 29.09.2015
Kategoria: Ochrona Danych Osobowych
Podczas konferencji „Nowe ramy prawne ochrony danych w UE. Wyzwania dla Polski" zorganizowanej przez GIODO we współpracy z Ministerstwem Administracji i Cyfryzacji oraz Michałem Bonim, posłem do Parlamentu Europejskiego jednym z poruszonych tematów była kwestia nakładania przez GIODO surowych kar finansowych.
GIODO i grzywny w celu przymuszenia
W chwili obecnej, zgodnie z art. 12 pkt 3 ustawy o ochronie danych osobowych, GIODO ma możliwość nakładania na podmioty, które nie wykonują jego decyzji administracyjnych – grzywny w celu przymuszenia.
Postępując zgodnie z przepisami ustawy o postępowaniu egzekucyjnym w administracji, GIODO na drodze egzekucji administracyjnej w myśl art. 121 ustawy, może zastosować następujące kary finansowe:
- każdorazowo nałożona grzywna nie może przekraczać kwoty 10 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 50 000 zł.
- grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 200 000 zł.
Z informacji uzyskanych od GIODO wynika, że od dnia wejścia w życie przepisów poszerzających zakres zadań GIODO o kompetencje w zakresie prowadzenia egzekuzji administracyjnej, czyli od 7 marca 2011 r., GIODO nałożyło cztery grzywny w celu przymuszenia.
Jednakże, jak często podkreśla w swoich wypowiedziach dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO), kary te nie odstraszają podmiotów, które przetwarzają dane osobowe. A jeśli kary mają być prewencyjne – powinny być odczuwalne. Receptą na taki stan rzeczy może być unijne rozporządzenie o ochronie danych osobowych.
Unijne rozporządzenie o ochronie danych osobowych
Prace nad nowymi przepisami dotyczącymi ochrony danych osobowych w UE trwają od stycznia 2012 r., kiedy to został zaprezentowany projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) oraz projekt dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (tzw. dyrektywa policyjna).
Aktualnie rozporządzenie o ochronie danych osobowych jest w fazie trilogu, czyli trójstronnych negocjacji pomiędzy Radą UE, Parlamentem Europejskim a Komisją Europejską, zmierzających do wypracowania wspólnego tekstu aktu prawnego.
Unijne rozporządzenie o ochronie danych osobowych ma być wprowadzone bezpośrednio do porządku prawnego i ma zastąpić 28 lokalnych ustaw o ochronie danych osobowych; do jego głównych zadań będzie należeć m.in. stworzenie nowoczesnych i spójnych ram ochrony danych osobowych w Europie czy też dostosowanie przepisów prawa do realiów społeczeństwa informacyjnego (szczególnie w dobie internetu).
Rozporządzenie wprowadza wysokie kary finansowe za nieprzestrzeganie przepisów związanych z ochroną danych osobowych. Zgodnie z dokumentem pt. „Kluczowe tematy z perspektywy trilogu” zaprezentowanym przez Grupę Roboczą Art. 29 17 czerwca 2015 r., w celu bycia skutecznym, rozporządzenie powinno zapewnić skuteczne narzędzia dla organów ochrony danych. Jak podkreśla Grupa Robocza Art. 29, uprawnienie do zawieszenia przetwarzania danych, do zapewnienia zgodności operacji przetwarzania danych w określony sposób i nałożenia odstraszających, srogich i proporcjonalnych kar jest kluczowe do zapewnienia zgodności.
W ten sposób, zgodnie z brzmieniem rozporządzenia, każdy organ nadzorczy zobowiązany jest do nakładania sankcji administracyjnych wymienionych w katalogu, w postaci grzywien do kwoty maksymalnej, oczywiście z należytym uwzględnieniem każdego indywidualnego przypadku.
W efekcie, organ nadzorczy – w naszym wypadku GIODO, będzie mógł na przykład nałożyć grzywnę do wysokości 1 000 000 EUR lub w przypadku przedsiębiorstwa do 2 % jego rocznego światowego obrotu – jeśli podmiot działa umyślnie lub lekkomyślnie i przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej przetwarzania (art. 79 rozporządzenia).
GIODO nałoży karę finansową wcześniej
Andrzej Lewiński, zastępca GIODO, na konferencji „Nowe ramy prawne ochrony danych w UE. Wyzwania dla Polski" wspomniał, że aktualnie trwają prace nad nowelizacją ustawy o ochronie danych osobowych – tak, aby kary finansowe można było wprowadzić wcześniej, nie czekając aż wejdzie w życie unijne rozporządzenie o ochronie danych osobowych (co prawdopodobnie będzie miało miejsce w 2018 roku).
Monika Kuś